7 meneos
43 clics
El fin de las contraseñas se acerca [EN]
La industria intenta escapar de la inseguridad de las contraseñas. Y la solucion para esto son las passkeys. Los passkeys son un sistema para realizar la autenticacion sin requerir contraseña. Esta puede ser desde una llave USB fisica que conectas al ordenador a una llave "digital" que esta almacenada en tu telefono movil. Se puede combinar con un segundo factor, como la huella o un reconocimiento facial. Google crea/despliega las passkeys para acceder a sus cuentas.
|
comentarios cerrados
Luego aparte las contraseñas son sensibles al phising (que te engañen para que metas los datos). Las passkeys no se pueden hacer porque van asociado a un objeto fisico.
En cuanto al phishing seguirá pasando igual. Es más, se añaden nuevos vectores de ataque, en lugar de reducirlos.
Por ejemplo: Fcbkff2td*, Gglff2td*, Twttff2td*,Ytbeff2td*, Tktkff2td*
El phising es bastante más complicado con passkeys. Si te conectas a go0gle.com, la passkey se negará a autenticar contra ese dominio. Ya de entrada, te estás quitando con el tipo más común de phising.
Consiguen tu contraseña de un filtrado, hacen una prueba en tu cuenta de amazon, sino funciona, entonces prueban poniéndole la inicial del sitio. Sino, pueden probar a quitarle las vocales como has hecho tú, etc... Al final estarias usando 2-3 algoritmos muy sencillos.
Por no hablar que en ocasiones tu algoritmo va a provocar que repitas contraseñas por error. Que pasa si tienes una cuenta de Facebook para trabajo y otra personal?
Yo recomiendo usar un gestor y directamente poner contraseñas aleatorias. Pero esta claro que el futuro es usar algo fisico/hardware y no una contraseña.
Que cada cual busque su sistema mnemotécnico para recordarlas.
Ea, ya os he dicho mi truco.
******
Fuera coñas, sigo con keepass multiplataforma la misma base.
Sin dejar rastro en el portapapeles
Además si te acceden al dispositivo tienen TODOS los accesos. En plan diccionario.
Al final es un gestor de claves mas solo que integrado en chrome en el caso de las passkeys de google (tambien podrian ser instalables o sistemas de ficheros).
SI voy a casa de mi amigo y quiero conectarme en su pc a mi cuenta voy a tener si que si una de estas 2:
Authenticar con el movil.
Introducir contraseña.
Básicamente no es nada nuevo. Solo en mi opinion añade mas riesgo y nuevos vectores de ataque. Por primar la "Comodidad" que como ya te digo no veo que sea mucho avance a lo que ya hay.
Se puede recrear parte del efecto con un gestor de contraseñas offline + claves aleatorias. Esto es la evolución/mejora de ese sistema. Especialmente cuando es una passkey en hardware, donde es físicamente imposible obtener las clases privadas del dispositivo.
Yo considero que si hay una mejora de seguridad, especialmente si se te permite desactivar el login con contraseña. No se me ocurre una forma de hackear una cuenta con passkey sin tener acceso físico al dispositivo que la contiene.
Claro, como si no se pudiese hacer ninguna operación sin ella...
Pues no, en realidad una tarjeta de crédito/débito no se puede considerar parte de un MFA (factor de doble autenticación ), ya que no la necesitas absolutamente para nada. Con tal de que difundas los numeritos y letras de anverso, y reverso, todo el mundo podría utilizarla en internet.
Así pues, en realidad, los datos de la tarjeta se consideran en su conjunto una sola 'contraseña' o 'pasaphrase' más, sin que el plástico sea necesario para absolutamebte nada. Con lo cual la tarjeta física, en sí misma, no se considdera un MFA.
" si se te permite desactivar el login con contraseña"
Lo cual a efectos practicos es inviable a dia de hoy.
El guardar las claves de manera local ya se hace pero para la sesion en curso, de manera encriptada y poder hacer varias peticiones a un mismo sitio sin tener que validar constantemente las credenciales, por ejemplo JWT. Son volatiles (se guardan en memoria, con un tiempo de expiracion generalmente corto, MUY CORTO, pocos segundos).
La unica otra opcion son los datos biometricos. Lo cual a efectos de uso personal tampoco son viables porque cualquier sensor biometrico es manipulable en un entorno no controlado como puede ser la casa de cualquier usuario.
#17 como curra en bancos se cree que el sistema de un TPV es viable para el uso personal, pero no. Lo mas parecido podria ser un monedero de criptomonedas. Donde tambien hay una frase de recuperacion. Los TPVs guardan muchas contraseñas de cifrado de los chips y las firmas en los propios TPVS y bueno otros datos. Y entiendo tu punto de vista. Pero creo que no ves que SIEMPRE va a haber un dato biometrico o un factor de conocimiento ( una palabra, una frase, una imagen, un sonido, un gesto) detras de cualquier autenticacion.
Saludos.
Estamos mezclando claves de sesión con credenciales de autenticacion. Ni siquiera es cierto que duren segundos o se guarden en la memoria, como te crees que tu navegador te mantiene logeado en meneame? Pues porque hay una cookie con una clave de sesión que tiene un tiempo de expiracion en semanas.
Pero estamos mezclando cosas. Hablamos de autenticación, una passkey no expone nunca sus claves privadas al exterior. Es totalmente imposible acceder a ellas.
El protocolo es el siguiente. La web notifica al navegador que quiere usar una passkey, el navegador manda la solicitud a la passkey. En la solicitud añade un texto aleatorio.
El hardware responde a la solicitud firmandola y esto se entrega a la web. Dado que la web conoce la clave pública de la passkey, puede verificar la pertenencia.
No hay forma física de acceder a la clave privada. En ese sentido, es una evolución de un gestor de contraseñas, que al ser software, siempre se puede acceder a su contenido.
Sobre el factor de autenticacion, ya he dicho que muchas llaves pueden añadir un factor adicional de autenticacion (biometrico o un pin). Pero esto es solo para acceder a la llave, no se transmite a ningún sitio. Por eso he hecho la comparación de una tarjeta de banco y un TPV.
No estoy mezclando nada. Ya dije lo que pienso y se como funciona passkey. No digo que no tengas razón pero no aporta nada nuevo. Basicamente es almacenar el JWT como si fueran las credenciales en si.